Le scénario procurement type. L'équipe ingénierie veut déployer un outil de prise de notes de réunion. Le juridique regarde le diagramme de flux de données, voit « audio téléversé vers un datacenter américain », et la conversation est close avant d'avoir commencé. Pas parce que l'outil est mauvais. Parce que le chemin de la donnée n'a pas la forme du RGPD.

Si votre équipe est en Europe, ce scénario se rejoue à peu près chaque trimestre. Le leader du marché de l'IA de réunion expédie depuis des datacenters américains par défaut ; la résidence en Europe est une option de plan entreprise, voire indisponible. Pour les organisations qui prennent le RGPD au sérieux, c'est de la friction.

Un outil de synthèse de réunion est conforme RGPD par défaut quand l'audio et les synthèses restent dans une infrastructure européenne, que la rétention est courte et explicite, et que les données utilisateurs ne servent jamais à entraîner les modèles. En dessous, c'est une discussion procurement en attente.

Ce que le RGPD exige vraiment

Trois articles font l'essentiel du travail pour un flux audio–IA.

Article 5(1)(b), limitation des finalités. L'audio est collecté pour produire une synthèse. C'est la finalité. L'utiliser pour entraîner un modèle est une finalité distincte, qui exige une base légale propre. La plupart des IA de réunion américaines se réservent le droit d'exploiter vos données pour « améliorer le service », la formulation polie pour « entraîner le modèle ».
Article 5(1)(c), minimisation. Garder ce qu'il faut, le temps qu'il faut. Une synthèse se produit en quelques minutes ; conserver la source audio trente jours, quatre-vingt-dix jours ou « indéfiniment chiffrée » n'est pas de la minimisation, c'est du stockage.
Article 5(1)(f) + articles 44 à 50, sécurité et transferts internationaux. Les données européennes envoyées vers une infrastructure américaine voyagent sous le Data Privacy Framework UE-US. Ce cadre a déjà été invalidé deux fois et est attaqué une troisième. Un fournisseur qui garde les données de ses clients européens en Europe vous dispense de la dépendance au cadre.

Le RGPD n'interdit pas les fournisseurs IA américains. Il vous oblige à documenter, justifier et accepter le risque à chaque traitement de données personnelles hors UE. Pour la plupart des équipes, le chemin le plus simple est un fournisseur qui ne crée pas le risque.

Où les outils populaires coincent

Outil	Stockage par défaut	Option résidence UE	Entraînement sur les données	Rétention par défaut
Otter.ai	US	Plan entreprise	Données agrégées / anonymisées utilisées	Indéfinie, jusqu'à suppression utilisateur
Fireflies.ai	US	« Private Storage » entreprise, stockage seulement, traitement US	Annonce « Zero Data Retention », traitement US	Jusqu'à suppression utilisateur
Read.ai	US	Limitée	Pas d'entraînement par défaut	Jusqu'à suppression utilisateur
Sembly AI	US + options UE	Plan payant	EU-US DPF	Variable selon le plan
EnClair	UE	Par défaut, pour tous	Jamais	24 heures, audio et synthèses

Sources : pages publiques de sécurité et de gestion de données de chaque fournisseur. Le tableau ci-dessus, c'est exactement le dossier que le service procurement va assembler ; mieux vaut le lire maintenant que dans un contrat.

À quoi ressemble la « conformité par défaut »

« Par défaut », ce sont les mots qui comptent. Un fournisseur avec une option de stockage UE sur le plan entreprise n'est pas un fournisseur qui stocke en UE pour tout le monde. La différence se voit quand l'équipe ingénierie qui pilote un POC à trente personnes est un palier en dessous de l'option de stockage.

Trois vérifications côté procurement :

Où va l'audio entre le téléversement et la synthèse ? Si la réponse est « infrastructure européenne tout au long », la conversation est courte. Si elle implique un appel d'inférence en région US, la conversation passe au juridique.
Quelle est la rétention par défaut ? Tout ce qui dépasse 24 à 72 heures pour le média source est difficile à défendre côté minimisation. « Chiffré au repos pour toujours », c'est du stockage chiffré, pas de la minimisation.
Les données sont-elles utilisées pour entraîner, évaluer ou améliorer un modèle ? La bonne réponse est « non, jamais ». La réponse acceptable est « oui, avec opt-out explicite par locataire ». Tout le reste, c'est un procurement qui s'enlise.

Une checklist en deux minutes avant signature

Avant qu'une IA de réunion n'arrive dans votre stack, les réponses à ces questions doivent figurer dans le DPA, l'accord de traitement des données, le contrat qui décrit comment le fournisseur gère vos données, pas dans la plaquette marketing.

Où est stocké l'audio, et où est-il traité ? (deux questions distinctes, cf. Fireflies)
Quelle est la rétention du média source en heures ?
La synthèse est-elle conservée, et pour combien de temps ?
Les données utilisateurs sont-elles utilisées pour entraîner un modèle, à quelle cadence, sous quelle agrégation ?
Les sous-traitants, les entreprises tierces que le fournisseur utilise pour livrer le service, par exemple l'hébergement cloud ou les moteurs de transcription, sont-ils en UE ou couverts DPF, et comment la liste est-elle tenue ?
Existe-t-il un journal d'audit par locataire des accès au média source ?

Si le fournisseur ne peut pas répondre par écrit en une semaine, la réponse est non.

Une note sur la rétention

EnClair stocke audio et synthèses pendant 24 heures, puis supprime les deux. Nous n'entraînons aucun modèle sur les entrées ou sorties utilisateurs. L'hébergement est en Europe. La politique complète de rétention et de confidentialité est documentée sur la page sécurité, et la section RGPD de la FAQ couvre les questions qui reviennent le plus souvent côté acheteur.

À retenir

La question RGPD n'est pas « le fournisseur est-il conforme », c'est « le fournisseur est-il conforme par défaut, pour tout le monde, avec une rétention qu'un régulateur ne discutera pas, sans utiliser vos données pour entraîner ». Quand la réponse est oui aux trois, l'outil passe. Sinon, on négocie ou on change. Une IA de réunion pensée pour les équipes européennes raccourcit cette discussion à un vendredi après-midi.